¿El firmware de tu cámara IP está actualizado?

La siguiente información se hizo pública con lujo de detalles a principios de enero en el blog de un par de investigadores llamado Console Cowboys, hace algunas horas lo publicó H-Online Security y si bien ya no es novedad, vale la pena comentarlo.

Uno de ellos detectó una vulnerabilidad en las cámaras IP de la marca TRENDnet que permite acceder a las imágenes en vivo sin necesidad de ingresar usuario y contraseña. Luego de analizar el firmware de su propia cámara, descubrió que simplemente había que escribir la ruta “anony/mjpg.cgi”.

El siguiente es un ejemplo real de una cámara que se encuentra en alguna parte del mundo:

TRENDnet-camara-ip

Es cierto que en la red se pueden encontrar muchas cámaras IP abiertas (sin contraseña), hace poco hacía referencia a ello en el post “Google hacking, buscando cosas prohibidas y secretas en la red” y también comentaba el caso de la cámara de un hotel 5 estrellas que se podía controlar remotamente con un zoom óptico x22.

Pero en este caso no se trata de malas configuraciones o un acceso libre al streaming, sino de una vulnerabilidad que permite acceder aún cuando la autenticación está activada.

En los últimos días TRENDnet publicó nuevas versiones de sus firmwares bajo la categoría «Critical Updates» que solucionan el problema, así que si tienes una cámara IP de esta u otra marca sería bueno que verificaras la versión que tienes instalada, por las dudas :)

Por último, si tienes ganas de jugar un poco, en el blog de ESET España publicaron un enlace a Pastebin donde hay una lista de las cámaras a las cuales se puede acceder por internet con el anony/mjpg.cgi.

Ver también:
Cámara de seguridad casera con Skype.
Yawcam, detecta movimiento y vigila con tu webcam.

9 comentarios en «¿El firmware de tu cámara IP está actualizado?»

  1. «El siguiente es un ejemplo real de una cámara que se encuentra en alguna parte del mundo:»

    Y si sé donde esta, en Venezuela, la típica casa venezolana

    Responder
    • Y por qué son así las casas de Venezuela, sin muebles? :)

      A mí me parece que ahí dan clases de baile o algo así por el equipo de música al fondo, no volví a entrar para ver jeje.

      Responder
  2. Entré a algunas y todas eran casas, una de ellas uan mansión espectacular.
    En otra había ropa tirada en el piso, una laptop abierta, vasos vacíos…mmm; eso sí, las imagenes cargan y se van..y así sucesivamente. No quedan como una web cam, que ves el movimiento pero la toma está quieta.

    Responder
  3. Hablando en serio, eliminé del post el enlace a Pastebin porque me da cosa dejarlo… si fuera por una mala configuración no me importaría, pero es un problema del software y algunos seguro no lo actualizan nunca más.

    Igual en el artículo de Eset está publicado, se encuentra en Google o mismo en Pastebin.

    Responder
  4. Woow… ese enlace de Pastebin… me estoy divirtiendo un poco con las cámaras que a´ún funcionan (la mayoría ya no). Hay de todo, Honduras, Colombia, EEUU, Bélgica (esta está dentro de una casa)… una locura… ¡Hay que avisarles Yanuzzi!
    Después de ver esto, uno entiende la sana paranoia de tapar la webcam con cinta aisladora o un postit (como Chema Alonso y cía).

    Responder

Deja un comentario